Java Tech

如无必要,勿增实体

标签 "spring" 下的文章

与SpringMVC Web开发相关的XSS问题(一)

  今天同事提了一个bug,编辑一条记录时,发现某个字段的值为空,查看网页源代码发现原来这个字段的值带有特殊符号",如:value=""abc"",居然是XSS漏洞。难道SpringMVC框架默认没有对用户输入的特殊字符进行处理的?然后在网上找了很多关于SpringMVC防止XSS漏洞和SQL注入攻击的文章,发现内容大多重复,而且提供的预防方法也不是非常准确,有的方法根本无效。下面通过实验证明一些方法的可行性。

beplay William Hill